Захист та обробка персональних даних — це важливі складові забезпечення права людини на приватність та безпеку її інформації. В умовах сучасного цифрового світу, де інформація стає одним із найцінніших ресурсів, захист особистої інформації стає все більш актуальним питанням.
В Україні захист персональних даних передбачено Конституцією України, Законом України «Про захист персональних даних» (далі – Закон), іншими законами та підзаконними нормативно-правовими актами, міжнародними договорами України, згода на обов'язковість яких надана Верховною Радою України.
Враховуючи вимоги чинного законодавства, відповідно до частин першої та другої статті 32 Конституції України ніхто не може зазнавати втручання в його особисте і сімейне життя, крім випадків, передбачених Конституцією України. Не допускається також збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Водночас статтею 64 Конституції України передбачено, що в умовах воєнного або надзвичайного стану можуть встановлюватися окремі обмеження прав і свобод із зазначенням строку дії цих обмежень.
Згідно із статтею 3 Указу Президента України «Про введення воєнного стану в Україні» від 24 лютого 2022 року № 64/2022 у зв’язку із введенням в Україні воєнного стану тимчасово, на період дії правового режиму воєнного стану, можуть обмежуватися конституційні права і свободи людини і громадянина, передбачені, зокрема, статтею 32 Конституції України.
Крім того, вищезазначеними нормативними актами передбачено основні аспекти захисту та обробки персональних даних:
Так, відповідно до абзацу 10 статті 2 Закону персональні дані це - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
Обробка персональних даних – це будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем (абзац 8 статті 2 Закону).
Обробка може бути законною тільки за наявності чіткої підстави. Статтею 11 Закону підставами для обробки персональних даних є:
1) згода суб’єкта персональних даних на обробку його персональних даних;
2) дозвіл на обробку персональних даних, наданий володільцю персональних даних відповідно до закону виключно для здійснення його повноважень;
3) укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних;
4) захист життєво важливих інтересів суб’єкта персональних даних;
5) необхідність виконання обов’язку володільця персональних даних, який передбачений законом;
6) необхідність захисту законних інтересів володільця персональних даних або третьої особи, якій передаються персональні дані, крім випадків, коли потреби захисту основоположних прав і свобод суб’єкта персональних даних у зв’язку з обробкою його даних переважають такі інтереси.
Відповідно до частини першої, другої статті 24 Закону володільці, розпорядники персональних даних та треті особи зобов’язані забезпечити захист цих даних від випадкових втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.
В органах державної влади, органах місцевого самоврядування, а також у володільцях чи розпорядниках персональних даних, що здійснюють обробку персональних даних, яка підлягає повідомленню відповідно до цього Закону, створюється (визначається) структурний підрозділ або відповідальна особа, що організовує роботу, пов’язану із захистом персональних даних при їх обробці.
Інформація про зазначений структурний підрозділ або відповідальну особу повідомляється Уповноваженому Верховної Ради України з прав людини, який забезпечує її оприлюднення.
Відповідно до статті 8 Закону особисті немайнові права на персональні дані, які має кожна фізична особа, є невід'ємними і непорушними.
Слід зазначити, що суб'єкт персональних даних має свої права, а саме:
1) знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
2) отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;
3) право на доступ до своїх персональних даних;
4) отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;
5) пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;
6) пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
7) на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
8) звертатися із скаргами на обробку своїх персональних даних до Уповноваженого або до суду;
9) застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;
10) вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;
11) відкликати згоду на обробку персональних даних;
12) знати механізм автоматичної обробки персональних даних;
13) право на захист від автоматизованого рішення, яке має для нього правові наслідки.
Контроль за додержанням законодавства про захист персональних даних у межах повноважень, передбачених законом, здійснюють такі органи:
1) Уповноважений Верховної Ради України з прав людини у сфері захисту персональних даних;
2) суди.
Порушення законодавства про захист персональних даних тягне за собою відповідальність, встановлену Законом (стаття 28 Закону).
Крім того, статтею 18839 Кодексу України про адміністративні правопорушення передбачено відповідальність та покарання за поширення персональних даних.
Так, зокрема недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб'єкта персональних даних - накладення штрафу на громадян від ста до п'ятисот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб'єктів підприємницької діяльності - від трьохсот до однієї тисячі неоподатковуваних мінімумів доходів громадян.
Повторне протягом року вчинення порушення, передбаченого частиною четвертою цієї статті, за яке особу вже було піддано адміністративному стягненню, - накладення штрафу від однієї тисячі до двох тисяч неоподатковуваних мінімумів доходів громадян
Враховуючи вищевикладене, захист та обробка персональних даних — це динамічна сфера, що постійно змінюється у відповідь на еволюцію технологій та зміну соціальних норм. Тому, надзвичайно важливо бути обізнаними про свої права і дотримуватися вимог чинного законодавства.